Poważne usterki w Gadu-Gadu

Strona głównaPoważne usterki w Gadu-Gadu
22.11.2005 17:52
Redakcja
Redakcja

Secunia poinformowała o kilku istotnych nowo wykrytych usterkach w komunikatorze Gadu-Gadu odkrytychprzez Błażej Migę i Jaroslawa Sajko z PSNC SecurityTeam. Dwie usterki dotyczą funkcji przesyłania grafik do innegoużytkownika. Obrazki z nazwą zaczynającą się od AUX: mogądoprowadzić do zablokowania wątku odpowiedzialnego za obsługęwiadomości, zaś te z nazwą rozpoczynającą się od LPT: mogąspowodować wysłanie dowolnej treści na drukarkę. Problemy mogąsprawić też grafiki o długie nazwie (pomiędzy 192 i 200 znaków),które mogą spowodować zawieszenia komunikatora odbiorcy. Trzecia usterka dotyczy bezpośrednich połączeń, a więcużytkowników, których tę opcję mają włączoną. Efektem wysłaniaspecjalnego pakietu DCC przez atakującego może być zajęcie dużejilości pamięci u odbierającego, a także wyświetlenie wielukomunikatów błędów. Czwarta z usterek związana jest z obsługą linków URIrozpoczynających się od gg:, pozwalających zazwyczaj na rozpoczęcierozmowy z numerem Gadu-Gadu. Jeśli atakującemu uda się namówićofiarę do odwiedzenia strony WWW z wieloma linkami rozpoczynającymisię od gg:, może on doprowadzić do utraty konfiguracjiprogramu. Ostatnia wykryta usterka dotyczy obiektu ActiveX EasycallLite.oce,który nie zapewniając dostatecznego bezpieczeństwa udostępniafunkcjonalność rozmów głosowych. Po nakłonieniu użytkownika GG doodwiedzenia specjalnej strony WWW można wykorzystać lukę doprzechwytywania dźwięków z mikrofonu. Wszystkie wykryte usterki dotyczą komunikatora w wersji 7.0.20 iwcześniejszych. Niestety, jak udało nam się zaobserwować, programGadu-Gadu nie proponuje automatycznej aktualizacji do najnowszejwersji 7.0.22, w której błędy zostały poprawione. UżytkownikomGadu-Gadu sugerujemy więc jak najszybsze ręczne zainstalowanienajnowszej wersji. Gadu-Gadu 7.0.22 można pobrać w dziale PROGRAMY -> Interenet iKomunikacja -> Komunikatoryinternetowe

bDUdwjph
Udostępnij:
bDUdwjqf